Skenario pertukaran token platform identitas Microsoft dengan SAML dan OIDC/OAuth

SAML dan OpenID Koneksi (OIDC) / OAuth adalah protokol populer yang digunakan untuk menerapkan akses menyeluruh (SSO). Beberapa aplikasi mungkin hanya mengimplementasikan SAML dan yang lain mungkin hanya mengimplementasikan OIDC/OAuth. Kedua protokol menggunakan token untuk mengomunikasikan rahasia. Untuk mempelajari selengkapnya tentang SAML, lihat protokol SAML akses menyeluruh. Untuk mempelajari selengkapnya tentang OIDC/OAuth, lihat protokol OAuth 2.0 dan OpenID Connect pada platform identitas Microsoft.

Artikel ini menjabarkan skenario umum ketika aplikasi mengimplementasikan SAML tetapi memanggil Graph API, yang menggunakan OIDC/OAuth. Panduan dasar disediakan untuk orang yang bekerja dengan skenario ini.

Skenario: Anda memiliki token SAML dan ingin memanggil Graph API

Banyak aplikasi yang diimplementasikan dengan SAML. Namun, Graph API menggunakan protokol OIDC/OAuth. Ini dimungkinkan, meskipun tidak sepele, untuk menambah fungsionalitas OIDC/OAuth ke aplikasi SAML. Setelah fungsionalitas OAuth tersedia di aplikasi, Graph API dapat digunakan.

Strategi umumnya adalah menambah stack OIDC/OAuth ke aplikasi Anda. Dengan aplikasi yang menerapkan kedua standar, Anda dapat menggunakan cookie sesi. Anda tidak bertukar token secara eksplisit. Anda masuk ke pengguna dengan SAML, yang menghasilkan cookie sesi. Saat Graph API memanggil alur OAuth, Anda menggunakan cookie sesi untuk mengautentikasi. Strategi ini mengasumsikan pass pemeriksaan Akses Bersyarat dan pengguna berwenang.

Catatan

Pustaka yang direkomendasikan untuk menambahkan perilaku OIDC/OAuth ke aplikasi Anda adalah Microsoft Authentication Library (MSAL).

Langkah berikutnya